Threat Spotlight: Ransomware-Angriffe auf die Regierung
Cyberkriminelle zielen mit Ransomware auf staatliche und lokale Regierungen in den Vereinigten Staaten ab.
Barracuda Experten haben mehr als 50 Städte und Gemeinden identifiziert, die in diesem Jahr bereits Ziel eines Angriffs geworden sind. Die jüngste Analyse von Hunderten von Angriffen auf ein breites Spektrum von Zielen ergab, dass Regierungsorganisationen die beabsichtigten Opfer von fast zwei Dritteln aller Ransomware-Angriffe sind. Lokal, Bezirks- und Landesregierungen, Schulen, Bibliotheken, Gerichte und andere Einrichtungen wurden bereits ins Visier genommen.
Hier wird ein genauerer Blick auf Ransomware-Angriffe auf Landes- und Kommunalverwaltungen sowie auf Lösungen zur Erkennung, Abwehr und Behebung dieser Angriffe geworfen.
Anmerkung: Zum Zeitpunkt der Fertigstellung der folgenden Analyse waren von den 22 texanischen Gemeinden, die von einem koordinierten Ransomware-Angriff betroffen waren, erst fünf identifiziert worden. Da die anderen Städte noch nicht identifiziert worden waren, konnten sie nicht in diese Analyse einbezogen werden. Wenn man diese 17 Gemeinden mitzählt, steigt die Gesamtzahl der Ransomware-Angriffe auf Landes- und Kommunalverwaltungen im Jahr 2019 auf knapp über 70.
.
Bedrohung im Fokus
Ransomware-Angriffe auf Kommunalebene — Cyberkriminelle verwenden bösartige Software, die als E-Mail-Anhang oder Link zugestellt wird, um das Netzwerk zu infizieren und E-Mails, Daten und andere wichtige Dateien zu sperren, bis ein Lösegeld gezahlt wird. Diese sich entwickelnden und ausgeklügelten Angriffe sind schädlich und kostspielig. Sie können tägliche Betriebsabläufe lahmlegen, Chaos verursachen und zu finanziellen Verlusten durch Ausfallzeiten, Lösegeldzahlungen, Wiederherstellungskosten und andere ungeplante und unerwartete Ausgaben führen.
Die Details
Der erste gemeldete Ransomware-Angriff auf eine Regierungsbehörde fand 2013 auf die Kleinstadt Greenland in New Hampshire statt. Ransomware existiert zwar schon seit etwa 20 Jahren, aber die Bedrohung hat in letzter Zeit rapide zugenommen, insbesondere wenn es um Angriffe auf Regierungsbehörden geht. Laut Cybersecurity Ventures werden die Ransomware-Schäden im Jahr 2019 voraussichtlich auf 11,5 Milliarden US-Dollar ansteigen, also 3,5 Milliarden Dollar mehr als im Vorjahr. Kommunen gehören zu den drei größten Zielen.
Barracuda-Forscher haben 55 Ransomware-Angriffe auf Landes-, Bezirks- und Kommunalverwaltungen analysiert, die sich in diesem Jahr zugetragen haben. Von den 55 Angriffen richteten sich 38 gegen Kommunalverwaltungen, 14 gegen Bezirksregierungen und drei gegen Landesregierungen. Zwar waren alle Arten von Behörden betroffen, aber die meisten Opfer waren Klein- und Großstädte.
Etwa 45 % der angegriffenen Gemeinden hatten eine Bevölkerung von weniger als 50.000 Einwohnern, und 24 % hatten weniger als 15.000 Einwohner. Kleinere Städte sind oft anfälliger, da ihnen die Technologie oder die Ressourcen zum Schutz vor Ransomware-Angriffen fehlen. Nahezu 16 Prozent der angegriffenen Gemeinden waren Städte mit mehr als 300.000 Einwohnern.
Bei den 55 Angriffen in diesem Jahr zahlten nur zwei Stadtverwaltungen und eine Landesverwaltung das Lösegeld, alle im Juni. In Florida bezahlte Lake City etwa 500.000$ US-Dollar (42 Bitcoin) und Riviera Beach etwa 600.000 US-Dollar (65 Bitcoin), nachdem sie vergeblich versucht hatten, ihre Daten wiederherzustellen. In Indiana zahlte La Porte County 130.000 US-Dollar für die Wiederherstellung seiner Daten. Keine der Städte, die bisher im Jahr 2019 angegriffen wurden, hat bisher Lösegeld gezahlt, einschließlich Baltimore, das 18 Mio. US-Dollar ausgab, um die dem Angriff zum Opfer gefallenen Daten wiederherzustellen.
Zu der Ransomware, die bei den jüngsten Angriffen gegen Landes- und Kommunalverwaltungen eingesetzt wurde, gehören Ryuk, SamSam, LockerGoga und RobbinHood.
Barracuda Experten sehen solche Angriffe gegen Regierungsorganisationen regelmäßig. Nachfolgend finden Sie ein aktuelles Beispiel für einen E-Mail-basierten Ransomware-Angriff, der durch die Threat Intelligence-Schichten von Barracuda entdeckt wurde. E-Mails sind der häufigste Bedrohungsvektor für diese Art von Ransomware-Angriffen, aber die Auswirkungen können leicht auch Netzwerke, Anwendungen und eine Vielzahl von sensiblen und kritischen Daten erreichen.
Während sich diese Studie auf Angriffe in den Vereinigten Staaten konzentriert, gab es weltweit ähnliche Angriffe. So wurden vier Gemeinden unterschiedlicher Größe in Kanada sowie das Straßenbahnsystem von Dublin in Irland und Stromversorgungsunternehmen in Indien und Südafrika angegriffen.
Regierungsorganisationen aller Größenordnungen benötigen Präventions- und Verteidigungsstrategien sowie Katastrophen- und Wiederherstellungskapazitäten.
Verteidigung gegen Ransomware-Angriffe
Die sich rasant entwickelnde E-Mail-Bedrohungsumgebung erfordert fortschrittliche Sicherheitstechniken für In- und Outbound, die über das traditionelle Gateway hinausgehen. Dazu gehören das Schließen technischer und menschlicher Lücken, um die Security zu maximieren und das Risiko zu minimieren, Opfer von ausgeklügelten Ransomware-Angriffen zu werden.
Spamfilter / Phishing-Erkennungssysteme
Während viele bösartige E-Mails überzeugend erscheinen, können Spam-Filter, Phishing-Erkennungssysteme und entsprechende Security-Software subtile Hinweise aufspüren und dabei helfen, zu verhindern, dass potenziell bedrohliche Nachrichten und Anhänge in E-Mail-Posteingänge gelangen.
Erweiterte Firewal
Wenn ein Benutzer einen bösartigen Anhang öffnet oder auf einen Link zu einem Drive-by-Download klickt, bietet eine erweiterte Netzwerk-Firewall, die zur Malware-Analyse in der Lage ist, eine Chance, den Angriff zu stoppen. Dies tut sie, indem sie die ausführbare Datei meldet, während diese versucht, das System zu passieren.
Malware-Erkennung Bei E-Mails mit bösartigen Dokumenten im Anhang kann sowohl die statische als auch die dynamische Analyse Indikatoren dafür erkennen, dass das Dokument versucht, eine ausführbare Datei herunterzuladen und auszuführen, was kein Dokument jemals tun sollte. Die URL für die ausführbare Datei kann oft mit Hilfe von Heuristik oder Bedrohungsermittlungssystemen ausfindig gemacht werden. Eine durch statische Analyse festgestellte Verschleierung kann zudem ein Indiz dafür sein, dass ein Dokument verdächtig sein könnte.
Sperrlisten
Da der IP-Bereich immer knapper wird, nutzen Spammer zunehmend ihre eigene Infrastruktur. Häufig werden dieselben IPs lange genug verwendet, damit Software sie erkennen und auf eine Blockliste setzen kann. Selbst bei gehackten Websites und Botnets ist es möglich, Angriffe per IP vorübergehend zu blockieren, sobald ein ausreichend großes Spam-Volumen erkannt wurde.
Benutzer-Awareness-Schulung
Machen Sie die Phishing-Simulation zu einem Teil der Schulung zur Stärkung des Risikobewusstseins, um sicherzustellen, dass Endbenutzer Angriffe erkennen und vermeiden können. Verwandeln Sie sie von einem Sicherheitsrisiko in eine Verteidigungslinie, indem Sie die Wirksamkeit von Schulungen im laufenden Betrieb testen und auswerten, welche Benutzer am anfälligsten für Angriffe sind.
Sicherung
Im Falle eines Angriffs kann eine Cloud-Backup-Lösung Ausfallzeiten minimieren, Datenverluste verhindern und Ihre Systeme schnell wiederherstellen, unabhängig davon, ob sich Ihre Dateien auf physischen Geräten, in virtuellen Umgebungen oder in der öffentlichen Cloud befinden. Im Idealfall sollten Sie die 3-2-1-Regel des Backups mit drei Kopien Ihrer Dateien auf zwei verschiedenen Medientypen mit mindestens einem Offsite-Backup befolgen, um zu vermeiden, dass Backups von einem Ransomware-Angriff betroffen werden.
Sehen Sie, welche Bedrohungen sich in Ihren Office 365-Postfächern verstecken
Dieses Threat Spotlight wurde von Fleming Shi mit Forschungsunterstützung von Audrey Laude vom Barracuda Research Team verfasst.
